用于工业设备的远程维护的安全远程维护设备和方法与流程

本发明涉及工业设备的远程维护，尤其涉及诸如涡轮发动机的航空系统的制造时所涉及的工业设备的远程维护。

背景技术：

在工业中，尤其是在航空工业中，所涉及的工业设备日渐复杂，并且通常需要对工业设备进行维护操作，而这些维护操作通常必须由经授权可介入该设备的合格的介入者来执行。

为了管理该设备的维护，该设备连接到网络，而该网络连接到介入者所连接的远程维护服务器，但前提是：有权人士对该介入者的访问进行授权。

然而，有权人士和合格的介入者并不总是出现在工业现场，因此在安排他们出现在工业现场的计划之外，将无法开启通信以及设备的远程故障服务。

允许随时进行远程访问的一种解决方案为：将设备永久连接到可远程访问的网络。

然而，出于与网络的可访问性有关的安全性考虑，这种解决方案并不令人满意。

技术实现要素：

本发明可以减轻上述缺点。

为此，根据第一方面，本发明涉及一种用于管理对工业网络的访问的壳体，工业网络连接到工业设备，管理壳体包括：用于访问因特网类型的数据网络的信道，所述用于访问数据网络的信道包括截止单元；用于对用于访问数据网络的信道进行控制的信道，所述控制信道包括控制器，该控制器被配置为控制截止单元，以允许工业网络和数据网络之间的通信。

根据该第一方面，本发明有利地通过单独地或以任何技术上可行的组合实现的以下特征来完成：

-控制信道包括第一通信接口，第一通信接口被配置为使得壳体与全球移动通信系统(gsm)类型的移动网络进行通信；

-截止单元包括截止继电器，截止继电器能够通过源自控制器的控制信号来激活；

-第一通信接口为gsm通信接口，控制信号取决于所接收的短讯息服务(sms)。

-控制器被配置为对用户进行验证；如果用户通过验证，则控制器被配置为控制截止单元，以在工业网络和数据网络之间建立通信。

根据第二方面，本发明涉及一种远程维护服务器，一方面，远程维护服务器被配置为连接到工业网络，工业网络连接到一组工业设备；另一方面，远程维护服务器被配置为连接到根据本发明所述的壳体，服务器包括控制服务器，控制服务器被配置为与壳体进行通信；所述服务器还包括防火墙，防火墙被配置为管理从所述壳体对工业网络的访问。

根据该第二方面，本发明有利地通过以下特征来完成：其中，防火墙被配置为将某一工业设备与网络的其他设备隔离，以使得仅允许访问被隔离的设备，而无法实现对其他设备的访问。

根据第三方面，本发明涉及一种用于对一组工业设备进行远程维护的方法，这一组工业设备共同连接到工业网络，工业网络连接到根据本发明的第一方面的、用于管理对工业网络的访问的壳体，管理壳体与数据网络和移动网络相连接，该方法包括以下步骤：在这一组工业设备的单元上检测到异常，该单元被称为所关注的单元；在壳体的控制信道上接收请求，该请求的目的为了在工业网络与数据网络之间建立远程维护通信；验证请求，如果请求通过验证，则在工业网络与数据网络之间建立远程维护通信。

根据该第三方面，本发明有利地通过单独地或以任何技术上可行的组合实现的以下特征来完成：

-移动网络为gsm网络，请求包含sms，sms优选地包括允许对所述请求进行验证的置信代码。

-壳体连接到远程维护服务器，在该方法中，建立远程维护通信包括以下步骤：将所关注的设备与工业网络的其他设备隔离，从而仅将所关注的设备连接到工业网络；

-方法包括以下步骤：通过管理壳体将介入者的终端连接到工业网络，以使得介入者的终端能够通过数据网络实现对所关注的设备的访问，从而对所述所关注的设备执行维护操作；一旦完成维护操作，则方法包括以下步骤：通过管理壳体将操作者的终端与工业网络之间的连接断开，工业网络无法再通过因特网网络进行访问；

-连接介入者的终端的步骤包括：对所述介入者进行验证，从而核实所述介入者是否经授权可连接到工业网络；

-方法包括以下步骤：恢复工业网络，以使得所有工业设备能够通过工业网络访问，但无法从因特网网络访问。本发明的优点非常多；

本发明允许有权控制远程维护解决方案的人士适当地设置安全的远程维护连接，以使得维护操作者(因此成为有权人士)可以随时从世界各地连接并执行工业设备的维护或故障服务。

集成到系统中而允许完成远程维护的壳体可通过移动设备，尤其是通过蜂窝网络(gsm网络)进行远程控制，同时具有较高的安全性。

因此，对于维护操作而言，可以适当地建立安全的远程维护连接，以随时给位于工业现场之外的操作者提供额外的支持。

尤其，壳体允许开启电子电路，从而允许远程维护服务器和数据网络之间的连接。可以在本地或通过移动网络完成开启，然后使得维护操作者可以安全地实现对工业设备的访问。

附图说明

从下文的描述中将揭示本发明的其他特征、目的和优点，这些描述仅为说明性的而并非限制性的，并且必须参考附图进行阅读，在附图中：

-图1示出了符合本发明的远程维护环境；

-图2示出了根据本发明的远程维护方法的步骤。

在所有附图中，类似的元素具有相同的附图标记。

具体实施方式

参考图1，工业设备u1、u2、u3连接到工业网络10。这种类型的工业网络10对于本领域技术人员是公知的，在此将不再进一步详细描述。

远程维护服务器20连接到工业网络10。这种类型的服务器20允许验证与工业网络10的工业设备相关的维护通信的安全性。尤其，远程维护服务器20允许管理对工业网络的访问，并且因此，允许管理对与该工业网络相连接的工业设备的访问。通过该远程维护服务器20，即可完成这样的维护操作。

服务器20包括被配置为与壳体30通信的控制服务器21，该服务器20还包括防火墙22，该防火墙22允许根据对某一工业设备所执行的介入来过滤连接。由于该防火墙22，远程维护服务器20允许将某一工业设备与网络的其他设备隔离，以使得用户终端只能实现对被隔离的设备的访问，而无法实现对其他设备的访问。

此外，用于管理对工业网络的访问的壳体连接到远程维护服务器20。

该壳体30允许管理介入者通过通信终端50'经由远程维护服务器20对工业网络10的远程维持的访问。

尤其，如下文所述，壳体30允许远程维护通信的开启和关闭，以使得能够通过因特网类型的数据网络40对工业网络10的工业设备执行远程故障服务。

有利地，通过gsm类型的移动网络70，有权人士可以通过其终端50来触发针对经授权的维护操作介入者或其本人的远程维护通信。

以这种方式，为了对网络10的某些工业设备u1、u2、u3执行故障服务，有权人士所授权的维护操作者可以通过终端50、50'经由数据网络40连接到工业网络10。

在图1的示例中，一个终端50被认为是用于有权人士，而另一终端50'被认为是用于维护操作者，因此有权人士和维护操作者是两个不同的人，但是本发明也适用于有权人士给自己开启远程维护通信的情况。

正如所理解的，壳体允许两个不同的连接：一个为与数据网络40的连接，以及另一个为与移动网络70的连接。

此外，一个终端50、50'例如是智能电话、平板电脑、或者甚至是移动计算机。然而，将理解的是，为了经由移动网络70建立远程维护通信，该终端能够连接到这样的网络。正如经由数据网络40执行远程维护的终端一样，该终端能够连接到这种类型的数据网络。

仍然参照图1，管理壳体30包括：用于访问因特网类型的数据网络的信道30a和用于对所述用于访问数据网络的信道30a进行控制的信道30b。

有利地，控制信道30a包括允许访问gsm类型的无线网络70的第一通信接口32。

该用于访问数据网络的信道30a包括第二通信接口34，该第二通信接口34允许访问因特网类型的数据网络40。

因此，正如所理解的，管理壳体30优选地既连接到有线移动网络70(例如，gsm类型的网络)，又连接到因特网类型的数据网络40。

连接到移动网络70和数据网络40的具体含义为：可以在管理壳体30与数据网络40或移动网络70中的一个或另一个之间建立通信。

壳体30具有两个不同的功能。

第一个功能为：通过控制信道30b控制工业网络10和数据网络40之间的远程维护通信的开启或关闭。这样的远程维护通信的开启或关闭通过用于访问数据网络40的信道30a而进行。

第二个功能为：确保对工业网络10的安全访问。为此，用于访问数据网络40的信道30a包括截止单元33，该截止单元33被配置为将工业网络10与数据网络进行物理隔离，从而无法从数据网络40建立通信。为了控制截止单元33，控制信道30b包括控制器31，该控制器31被配置为控制截止单元33，以允许从数据网络40访问工业网络10，从而建立远程维护通信。

作为补充，远程维护服务器20的防火墙22还具有与截止壳体30的控制器31进行通信的功能，以使得对远程维护通信的开启进行授权或不授权。

为了发生远程维护通信的开启或关闭，控制器31与远程维护服务器20和第一通信接口32相连接。

一方面，第一通信接口32与控制器31之间的连接，以及控制器31与远程维护服务器20之间的连接为rs232类型的已知连接。

该远程维护通信的开启和关闭由控制信道30b进行管理。尤其，必须对目的是为了建立源自移动网络70的远程维护通信的请求进行验证。该请求来自于有权人士。

由控制器31执行这种类型的验证，该控制器31处理从第一通信接口32接收到的信息，并将信息发送到服务器21以用于控制远程维护服务器20。

控制服务器21包括存储器(未示出)，存储器中存储有经授权的介入者的列表。因此，控制器31被配置为：在控制服务21的数据和与已发出用于建立远程维护通信的请求的人的身份相关的数据之间进行比较。

第一通信接口32为包括用户身份识别模块(sim)卡的gsm通信接口，以便能够将管理壳体30连接到gsm运营商的移动网络。在这种情况下，有权人士可以通过发送短讯息服务(sms)来发送其请求，以便开启远程维护通信。

有利地，所发送的sms响应于非常特殊的语法，该语法允许识别有权人士，并且该语法还包括将由控制器31发送给控制服务21的控制命令。

此外，出于明显的安全原因，sms包含置信代码，该置信代码通常由8个数字组成，从而允许验证有权人士。

因此，sms有利地由三个字段组成：

-由置信代码所构成的第一字段；

-由用于开启或关闭远程维护通信的命令所构成的第二字段；

-由特定工业设备项的控制命令所构成的第三字段。

该控制命令为特定工业设备项u1、u2、u3的命令，以使得允许通过远程维护通信对其进行维护。换言之，该控制命令由应用于某一设备、目的是为了允许该设备的远程维护的命令所构成。

因此，控制器31被配置为处理所接收到的请求(sms)，以将该请求所包含的身份与被存储在控制服务器21的存储器中的有权人士的列表进行比较(对于sms而言，该身份的核实操作将通过sms所源自的电话号码以及sms中包含的置信代码来实现)。

一旦该比较操作被确认，则控制器31生成控制信号，该控制信号允许控制截止单元33，以使该截止单元33使得工业网络10通过第二通信接口34与数据网络40进行通信。

有利地，截止单元33包括允许在两个rj45通信端口之间进行物理截止的电子继电器，其中，两个rj45通信端口中的一个通信端口通过安全网关22连接到远程维护服务器20，而另一个通信端口连接到因特网数据网络40。因此，基于源自控制器31并适用于该继电器的控制信号，控制两个通信端口的连接或断开。该继电器由12vcc信号所控制，源自控制器的控制(5vcc)信号通过电子电压放大器进行调节。

可选地，可以局部地控制截止单元33，以允许电路的开启或关闭，而无需通过sms模式。在这种情况下，通过经由服务器的控制服务21向控制器31发送请求来直接地、本地地而并非远程地执行验证操作。

参照图2来描述在上述图1的环境中所实现的远程维护方法。

在预备步骤(步骤e0)中，检测工业网络10的某些工业设备上的异常，并将该异常传递至工业现场的维护服务。

如果维护服务对远程维护通信感兴趣，并且希望获得额外的远程支持，则维护服务执行开启操作或者要求有权人士继续建立安全的远程维护通信，以使得工业网络中被检测到异常的设备可被远程访问。

以下，将被检测到异常的工业设备称为“所关注的设备”。

管理壳体30与移动网络709进行通信，并等待接收目的是为了在工业网络10和数据网络40之间建立远程维护通信的请求。该请求可以包含先前所描述的源自有权人士的sms。

在该阶段，管理壳体30仅可通过移动网络70进行访问，或者如果该请求在本地，则管理壳体30可以进行本地访问。

控制信道30b接收目的是为了在工业网络10与数据网络40之间建立远程维护通信的请求(步骤e1)。该请求尤其包括请求建立远程维护通信的有权人士的身份。该身份包括构成了该请求的sms所源自的电话号码。

然后，对该请求进行验证(步骤e2)。更准确地，该认证包括：壳体30的控制器31将有权人士的身份与被存储在远程维护服务器20的控制服务器21中的人员列表进行比较。在该步骤发送了sms的情况下，系统还将核实sms中所包含的置信代码。

一旦该请求被验证，则建立远程维护通信(步骤e3)。

为此，壳体30经由控制器31来控制截止单元33(步骤32)，以通过所述截止单元33使得工业网络10与数据网络40进行通信。

有利地，工业网络10通过第二通信接口34与数据网络40进行通信。

作为补充，在控制截止单元之前，建立远程维护通信包括一步骤(步骤31)，该步骤包括：使需要对工业网络10进行介入的工业设备与其他工业设备隔离。换言之，在工业网络10上仅可访问所关注的工业设备。

一旦建立远程维护通信，则维护操作者可以通过他的终端(智能手机、平板电脑、计算机等)经由数据网络40连接到工业网络10(步骤e4)。

为了允许维护操作者的连接，要求开启远程维护通信的有权人士，向维护操作者发送“url”类型的连接链接，然后发送标识信息。通过此链接，维护操作者可以访问接口，以允许确保对某些工业设备进行维护操作。

维护操作者的连接通过远程维护服务器20上的因特网类型的连接来完成，该连接包括验证操作。该验证操作包括：核实服务器上连接的介入者是否为预期的介入者，然后授权穿越位于远程维护服务器20上的防火墙22。然后就建立安全连接。

一旦建立该安全连接，则管理壳体30允许工业网络10与介入者的终端进行通信，使得介入者的终端可以实现对所关注的设备的访问。这种通信使得介入者的终端能够实现通过网络40对所关注的设备的访问，从而进行维护操作。在该步骤中，管理壳体已“物理地”将工业网络10连接到因特网网络40。

然后，介入者对所关注的设备执行一个或多个维护操作(步骤e5)。

当维护操作完成时，介入者断开与工业网络10的连接(步骤e6)。该步骤e6由介入者经由其终端所发起。

然后，远程维护服务器20控制管理壳体的控制器31(步骤e7)，以使得控制器31控制截止单元33，从而再次将工业网络10与数据网络隔离。

当工业网络10无法再被访问时，实现工业网络10的恢复(步骤e8)：然后将所有工业设备连接到工业网络。

最后一个步骤(步骤e9)由远程维护服务器20所实施，该步骤包括：跟踪维护操作者对所关注的设备所执行的动作。

优选地，控制服务21例如以视频的形式记录在工业网络10上执行的动作，从而保证生产数据的完整性。